安全杂谈：防火墙阵营中的得与失

软件防火墙

    防火墙是一种很“低调”的产品，一般来说，经过调试以后的防火墙基本上就不用大动了。在网络数据来来往往的过程中，防火墙并非如墙，却像一道透明的纱网将数据过滤过去，这种隐形的保护似乎让防火墙成为网络阵营中“不起眼”的设备。

    但这种低调的产品也是大有学问的，防火墙不同阵营中的产品很会带给你不同的安全体验，与网络正常运营可谓息息相关。首先从介质上，防火墙可分为硬件防火墙和软件防火墙。

硬件防火墙网络环境

    一、软件防火墙

    我们这里说的软件防火墙是纯粹的软件包载体，一般来说这种防火墙都会安装到目标客户端上，对于整个外网对内网的威胁没有很好的控制作用。目前很多安全软件套装中已经集成了软件防火墙的功能，单独安装的产品也存在，比如天网防火墙。软件防火墙只有包过滤得功能，对端口也有一定的控制作用，但明显防范手段太过单一，而且属于防范链的下游，不利于网络管理员主动管理。所以该方法目前只是辅助的安全措施，在端口和包的过滤上，软件防火墙的反应比较迟钝，优先级不高，并且无法具有宏观的管理特性，所以在真正的企业级应用中效果并不理想。

一款软件防火墙

硬件防火墙

    二、硬件防火墙

    硬件防火墙从硬件本身大概分为三个类别：PC，NP以及ASIC。一般说来，通常意义上的硬件防火墙都是PC式的，它类似于一台PC机存在于网络安全体系中，不过其也免不了资源冗余方式带来的耗竭，而NP以及ASIC防火墙则更先进一些，专有的芯片能促使它们处理速度更快，处理能力更强，性能更高。这类防火墙由于是专用OS，因此防火墙本身的漏洞比较少，不过价格相对比较高。

    对于目前的千兆级防火墙，厂商通常都会采用NP或ASIC方式。从性能、功能、技术成熟度方面考虑，ASIC芯片较好，从进入门槛、研发成本和灵活性考虑则NP占优。除了高性能，就是应用层面的多功能，这些系列功能可以最大限度的解放管理员，让企业内外网连接更加顺畅。其实对于用户来说肯定希望防火墙有更多的功能，如果仅仅有更高的带宽就能吸引住用户，不如让那些“剩余”带宽转化为其它功能，用户可以更乐意接受。

    而从技术层面上来看，防火墙大体可分为包过滤型防火墙和代理型防火墙。

    包过滤型防火墙应该属于比较初级的产品，依据是网络中的分包传输技术。网络上的数据都是以包进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，这些特定信息中很有可能包含威胁，防火墙的作用就是将可能造成网络威胁的数据包截下，控制入口数据流。防火墙通过读取数据包中的地址信息来判断包是否可信。

    当然这种弊端也是显而易见的：包过滤方式只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如果黑客采取了IP欺骗的策略，对于包过滤型防火墙来说将带来很大的麻烦。

    代理型防火墙的安全性就要高于包过滤型产品了，因为它已经开始向应用层发展。代理服务器位于终端与服务器之间，这样就可以有效拦截二者间的数据交流。对于终端方来说，代理服务器相当于一台真正的服务器；而从服务器方向看，代理服务器更像是终端。当终端需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给终端，也就是说在这个过程中经历了代理服务器的通道，由于外部系统与内部服务器之间没有直接的数据通道，恶意侵害也就很难伤害到企业内部网络系统了。

    防火墙在整个网络布局中的作用无需多言，不同类型的防火墙都有自身的优势，当然也有各自的缺憾。新型技术的产品势必会成为未来的主流，可是当下价格却高高在上，而平易近人的价格带来产品先天的性能瓶颈。这需要企业采购者做好预算，仔细权衡。